Хакеры используют «слепые зоны» системы безопасности для незаметных атак.
В начале 2024 года китайская группировка Velvet Ant воспользовалась недавно устраненной уязвимостью нулевого дня (Zero-Day) в коммутаторах Cisco для получения контроля над устройствами и обхода систем обнаружения угроз.
Уязвимость CVE-2024-20399 (оценка CVSS 6.7) позволила злоумышленникам внедрить уникальное вредоносное ПО и получить обширный контроль над зараженной системой, что облегчило как кражу данных, так и сохранение доступа.
По данным Sygnia, Velvet Ant использовала эксплойт для выполнения произвольных команд на Linux, работающей под оболочкой NX-OS. Для успешного проведения атаки киберпреступникам были необходимы действительные учетные данные администратора для доступа к консоли управления коммутатором.
Специалисты Sygnia впервые обратили внимание на группу Velvet Ant в рамках многолетней кампании, направленной против некой организации в Восточной Азии. В ходе кампании Velvet Ant использовала устаревшие устройства F5 BIG-IP для создания устойчивого доступа к скомпрометированной среде.
Обнаружение скрытой эксплуатации уязвимости CVE-2024-20399 произошло в начале июля, что побудило Cisco выпустить обновления безопасности для устранения данной проблемы. Группа Velvet Ant продемонстрировала высокий уровень технической подготовки и способность адаптировать свои методы, переходя от заражения новых систем Windows к устаревшим серверам и сетевым устройствам, что позволяет избегать обнаружения.
По мнению специалистов Sygnia, переход к использованию внутренних сетевых устройств является новой тактикой обхода систем защиты. Последняя цепочка атак включала взлом коммутатора Cisco с использованием уязвимости CVE-2024-20399, проведение разведывательных операций и выполнение вредоносного скрипта, что в итоге привело к запуску бэкдора.
Вредоносная программа, получившая название VELVETSHELL, представляет собой комбинацию двух инструментов с открытым исходным кодом: Unix-бэкдора Tiny SHell и прокси-утилиты 3proxy. Вредонос скрывается на уровне ОС и позволяет выполнять произвольные команды, загружать и выгружать файлы, а также устанавливать туннели для проксирования сетевого трафика.
Действия «Velvet Ant» подчеркивают высокую степень риска, связанного с использованием стороннего оборудования и приложений в корпоративной сети. Зачастую такие устройства являются «черным ящиком», поскольку они в основном скрыты от пользователя, что делает их потенциальной мишенью для злоумышленников.